Proxy RDP
La funcionalidad del proxy RDP se proporciona como parte de NetScaler Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo NetScaler Gateway se implementa en la DMZ y la comunidad de servidores RDP se encuentra en la red corporativa interna.
El usuario remoto;
- se conecta a la dirección IP pública de NetScaler Gateway
- establece una conexión VPN SSL
- autentica
- accede a los escritorios remotos a través del dispositivo NetScaler Gateway
La función de proxy RDP se admite en los modos VPN sin cliente y proxy ICA.
Nota:
NetScaler Gateway no admite las aplicaciones Remote Desktop Session Host (RDSH), Remote App, RDS multiusuario, RDP ni RDP.
Las siguientes funciones del proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de NetScaler Gateway.
-
Proteja el tráfico RDP mediante VPN sin cliente o modo Proxy ICA (sin túnel completo).
-
SSO (inicio de sesión único) en servidores RDP a través de NetScaler Gateway. También proporciona una opción para inhabilitar el SSO si es necesario.
-
Función de cumplimiento (SmartAccess), en la que los administradores de NetScaler pueden inhabilitar determinadas capacidades de RDP mediante la configuración de NetScaler Gateway.
-
Solución de puerta de enlace única o sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).
-
Compatibilidad con el cliente MSTSC nativo de Windows para RDP sin necesidad de clientes personalizados.
-
Uso del cliente RDP existente proporcionado por Microsoft en MACOSX, iOS y Android.
En la siguiente ilustración se muestra una descripción general de la implementación:
Implementación mediante VPN sin cliente
En este modo, los vínculos RDP se publican en la página de inicio o portal de Gateway, como marcadores, a través de la configuración de add vpn url
o mediante un portal externo. El usuario puede hacer clic en estos vínculos para obtener acceso al Escritorio remoto.
Implementación mediante ICA Proxy
En este modo, se configura una página principal personalizada en el VIP de puerta de enlace mediante el parámetro wihome
. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en NetScaler o, si es externa, puede ser un iFrame en la página del portal Gateway existente.
En cualquiera de los dos modos, después de que el usuario haga clic en el enlace o icono de RDP aprovisionado, llega a NetScaler Gateway una solicitud HTTPS del recurso correspondiente. La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un agente de escucha RDP en Gateway. Gateway realiza el SSO en el servidor RDP mediante la compatibilidad con la aplicación (SmartAccess). La puerta de enlace bloquea el acceso de los clientes a determinadas funciones de RDP, según la configuración de NetScaler y, a continuación, envía el tráfico RDP entre el cliente RDP y el servidor.
Detalles de ejecución
El administrador de NetScaler puede configurar determinadas capacidades de RDP mediante la configuración de NetScaler Gateway. NetScaler Gateway proporciona la función “cumplimiento de RDP” para parámetros importantes de RDP. NetScaler garantiza que el cliente no pueda habilitar los parámetros bloqueados. Si los parámetros bloqueados están habilitados, la función de aplicación RDP sustituye a los parámetros habilitados por el cliente y no se respetan.
Importante: La función de cumplimiento solo se aplica si el SSO está habilitado.
Parámetros RDP compatibles para la aplicación
Se admite la aplicación de los siguientes parámetros de redirección. Estos parámetros se pueden configurar como parte de un perfil de cliente RDP.
-
Redirección del portapapeles
-
Redirección de impresoras
-
Redirección de unidades de disco
-
Redirección de puertos COM
-
Redirección de dispositivos PNP
Flujo de conexión
El flujo de conexión se puede dividir en dos pasos:
- Enumeración de recursos RDP y descarga de archivos RDP.
- Inicio de la conexión RDP.
Según el flujo de conexión anterior, existen dos soluciones de implementación:
-
Solución de puerta de enlace sin estado (doble): la enumeración de recursos RDP y la descarga de archivos RDP se realizan a través de la puerta de enlace del autenticador, pero el inicio de la conexión RDP se realiza a través de la puerta de enlace de escucha de
-
Solución de gateway única: la enumeración de recursos RDP, la descarga de archivos RDP y el inicio de la conexión RDP se realizan a través de la misma puerta de enlace.
Compatibilidad con gateway sin estado (dual)
En la siguiente ilustración se muestra la implementación:
-
Un usuario se conecta a la VIP de puerta de enlace de autenticación y proporciona las credenciales.
-
Tras iniciar sesión correctamente en la puerta de enlace, se redirige al usuario a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.
-
Una vez que el usuario selecciona un recurso RDP, el VIP de Authenticator Gateway recibe la solicitud en el formato que
https://vserver-vip/rdpproxy/rdptarget/listener
indica el recurso publicado en el que hizo clic el usuario. Esta solicitud contiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado. -
La puerta de enlace de autenticación procesa la solicitud /rdpproxy/. Dado que el usuario ya está autenticado, esta solicitud incluye una cookie de puerta de enlace válida.
-
La información de
RDPTarget
yRDPUser
se almacena en el servidor STA y se genera un tíquet STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La puerta de enlace de autenticación utiliza uno de los servidores STA configurados en el servidor virtual de puerta de enlace. -
La información de “Listener” obtenida en la solicitud /rdpproxy/ se coloca
.rdp file
como “fulladdress
”, y el tíquet STA (predefinido con el AuthID de STA) se coloca.rdp file
como “loadbalanceinfo
”. -
.rdp file
se devuelve al dispositivo de punto final del cliente. -
El cliente RDP nativo se inicia y se conecta al
RDPListener Gateway
. Envía el tíquet STA en el paquete inicial.La puerta de enlace
RDPListener
valida el tíquet de STA y obtiene la información deRDPTarget
yRDPUser
. El servidor STA que se va a utilizar se recupera mediante el ‘authID’ presente en elloadbalanceinfo
. -
Se crea una sesión de puerta de enlace para almacenar directivas de autorización/auditoría. Si existe una sesión para el usuario, se reutiliza.
-
La puerta de enlace
RDPListener
se conecta aRDPTarget
e inicia sesión con SSO mediante CREDSSP.
Importante:
- Para el proxy RDP sin estado, el servidor STA valida el tíquet STA, enviado por el cliente RDP, para obtener la información de
RDPTarget/RDPUser
. Debe enlazar el servidor STA además del servidor virtual VPN.
Compatibilidad con puerta de enlace única
En la siguiente ilustración se muestra la implementación:
Importante:
En el caso de una única implementación de puerta de enlace, el servidor STA no es necesario. La puerta de enlace del autenticador codifica
RDPTarget
y la cookie de sesión de autenticación, autorización y auditoría de NetScaler de forma segura y las envía comoloadbalanceinfo
en el.rdp file
. Cuando el cliente RDP envía este token en el paquete inicial, la puerta de enlace del autenticador decodifica la información deRDPTarget
, busca la sesión y se conecta aRDPTarget
.
Soporte para oyente único
-
Escucha única para tráfico RDP y SSL.
-
La descarga de archivos RDP y el tráfico RDP se pueden gestionar a través de la misma tupla 2 (es decir, IP y puerto) en el dispositivo NetScaler.
Requisitos de licencia del proxy RDP
Edición premium, modificación avanzada
Nota:
La función RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la modificación Standard.
Puede utilizar el siguiente comando para habilitar el proxy RDP.
enable feature rdpProxy
<!--NeedCopy-->
Marcador
Generación de enlaces RDP mediante Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando targerIP:Port
. Para la implementación de proxy RDP sin estado, el administrador puede incluir información del listener RDP en FQDN: Formato de puerto como parte del perfil de cliente RDP. Esto se hace bajo la opción rdpListener
. Esta configuración se utiliza para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.
Crear marcadores
-
Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza por
rdp
://). -
Agregar url de VPN
<urlName> <linkName> <actualURL>
- La dirección URL debe tener el siguiente formato:
rdp://<TargetIP:Port>
. -
Para el modo proxy RDP sin estado, la URL debe tener el siguiente formato:
rdp://<TargetIP:Port>/<ListenerIP:Port>
- La URL se publica en el portal en el formato:
https://<VPN-VIP>/rdpproxy/<TargetIP:Port>
https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
- La dirección URL debe tener el siguiente formato:
-
Enlaza los marcadores al usuario, grupo, servidor virtual VPN o VPN global.
Funciones y modos que se habilitan para el proxy RDP
- enable ns feature ssl
- enable ns feature sslvpn
- enable ns feature rdpproxy
- enable mode usnip
<!--NeedCopy-->
Pasos de configuración de alto nivel para el proxy
Los siguientes pasos de alto nivel implicados en la configuración del proxy RDP sin estado.
- Crear un perfil de servidor RDP
- Creación de un perfil de cliente RDP
- Crear y enlazar un servidor virtual
- Crear un marcador
- Crear o modificar un perfil o una directiva de sesión
- Enlazar un marcador
Configurar un perfil de cliente
Configure el perfil del cliente en la puerta de enlace del autenticador. A continuación se muestra un ejemplo de configuración:
add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->
Asocie el perfil del cliente RDP al servidor virtual VPN.
Esto se puede hacer configurando una SessionAction+sessionPolicy o estableciendo el parámetro VPN global.
Ejemplo:
add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>
add vpn sessionpolicy <polname> NS_TRUE <actname>
bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
<!--NeedCopy-->
O BIEN:
set vpn parameter –rdpClientprofile <name>
<!--NeedCopy-->
Configurar un perfil de servidor
Configure el perfil del servidor en la puerta de enlace del listener.
add rdp ServerProfile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>`
<!--NeedCopy-->
rdp ServerProfile
debe configurarse en el servidor virtual VPN.
add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>`
<!--NeedCopy-->
Configuración del proxy RDP mediante la CLI
A continuación se muestra un ejemplo de configuración del proxy RDP mediante la CLI.
-
Agregue la URL de VPN del usuario con la información de destino.
add aaa user Administrator –password freebsd123$%^ add vpn url rdp RdpLink rdp://rdpserverinfo add dns addrec rdpserverinfo 10.102.147.132 bind aaa user Administrator –urlName rdp <!--NeedCopy-->
-
Configure el perfil de cliente y servidor RDP para la conexión VPN.
add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix add vpn vserver mygateway SSL 10.102.147.134 443 –rdpserverprofile p1 set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1 add ssl certKey gatewaykey -cert rdp_rootcert.pem -key rdp_rootkey bind ssl vserver mygateway -certkeyName gatewaykey <!--NeedCopy-->
-
AGREGAR SNIP para la conexión de NetScaler al destino.
add ns ip 10.102.147.135 255.255.255.0 –type SNIP <!--NeedCopy-->
Configuración del proxy RDP mediante la interfaz gráfica de usuario
-
Vaya a NetScaler Gateway > Directivas, haga clic con el botón derecho en RDPy haga clic en Activar función
-
Haga clic en RDP en el panel de navegación. A la derecha, selecciona la ficha Perfiles de cliente y haga clic en Agregar.
-
Introduzca un nombre para el perfil del cliente y configúrelo.
-
En el campo Host de RDP, introduzca el FQDN que se resuelve en la escucha del proxy RDP, que suele ser el mismo FQDN que el FQDN del dispositivo NetScaler Gateway.
-
En Clave previamente compartida, introduzca una contraseña y haga clic en Aceptar.
-
Introduzca un nombre en el perfil del servidor.
-
Introduzca la dirección IP del servidor virtual de puerta de enlace al que va a enlazar este perfil.
-
Introduzca la misma clave previamente compartida que configuró para el perfil de cliente RDP. Haga clic en Crear.
-
Si quiere agregar marcadores de RDP en la página del portal de acceso sin cliente, a la izquierda, expanda NetScaler Gateway, expanda Recursosy haga clic en Marcadores.
-
A la derecha, haga clic en Agregar.
-
Ponle un nombre al marcador.
-
Para la URL, escriba rdp: //myRDPServer mediante IP o DNS.
-
Seleccione Usar NetScaler Gateway como proxy inverso y haga clic en Crear.
-
Cree marcadores según sus necesidades.
-
Crea o modifica un perfil de sesión. Vaya a NetScaler Gateway > Directivas > Sesión.
-
En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. O bien, puede utilizar directivas de autorización para controlar el acceso.
-
En la ficha Escritorio remoto, seleccione el perfil de cliente RDP que creó anteriormente.
-
Si quiere utilizar marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen On.
-
En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA esté DESACTIVADO.
-
Modifique o cree su servidor virtual de puerta de enlace.
-
En la sección Configuración básica, haga clic en Más.
-
Utilice la lista de perfiles de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.
-
Desplácese hacia abajo. Asegúrese de que solo ICA no esté marcada.
-
Enlazar un certificado.
-
Enlazar directivas de autenticación.
-
Enlazar la directiva/perfil de sesión que tiene configurado el perfil de cliente RDP.
-
Puede enlazar marcadores al servidor virtual de NetScaler Gateway o a un grupo de autenticación, autorización y auditoría. Para enlazar con el servidor virtual de NetScaler Gateway, a la derecha, en la sección Configuración avanzada, haga clic en Aplicaciones publicadas.
-
A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.
-
Enlace sus marcadores.
-
Dado que solo ICA no se especifica para este servidor virtual de NetScaler Gateway, asegúrese de que las licencias universales de NetScaler Gateway estén configuradas correctamente. A la izquierda, expanda NetScaler Gateway y haga clic en Configuración global.
-
A la derecha, haga clic en Cambiar configuración de autenticación AAA.
-
Cambie el número máximo de usuarios al límite con licencia.
-
Si quiere conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración del tráfico > DNS > Servidores de nombres).
-
Si quiere utilizar los nombres cortos en lugar de los FQDN, agregue un sufijo DNS (Administración del tráfico > DNS > Sufijo DNS).
-
Conéctate a su puerta de enlace e inicia sesión.
-
Si ha configurado Marcadores, haga clic en el marcador.
-
Puede cambiar la barra de direcciones a /rdpProxy/myrdpServer. Puede introducir una dirección IP (por ejemplo rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).
-
Abre el archivo descargado
.rdp file
. -
Para ver los usuarios conectados actualmente, vaya a NetScaler Gateway Policies > RDP. A la derecha está la ficha Conexiones.
Opción para inhabilitar el SSO
La función SSO (inicio de sesión único) con proxy RDP se puede inhabilitar mediante la configuración de directivas de tráfico de NetScaler para que siempre se pidan credenciales al usuario. Cuando el SSO está inhabilitado, la aplicación de RDP (SmartAccess) no funciona.
Ejemplo:
add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->
La directiva de tráfico se puede configurar según el requisito; a continuación se muestran dos ejemplos:
-
Para inhabilitar el inicio de usuario único para todo el tráfico:
add vpn trafficpolicy <TrafficPolicyName> "url contains rdpproxy" <TrafficActionName> <!--NeedCopy-->
-
Para inhabilitar SSO basado en IP/FQDN de origen/destino
add vpn trafficPolicy <TrafficPolicyName> "HTTP.REQ.URL.CONTAINS("rdpproxy") && CLIENT.IP.SRC.EQ(<IP>)" <TrafficActionName> bind vpnvserver rdp -policy <TrafficPolicyName> -priority 10 <!--NeedCopy-->
En este artículo
- Implementación mediante VPN sin cliente
- Implementación mediante ICA Proxy
- Detalles de ejecución
- Compatibilidad con gateway sin estado (dual)
- Compatibilidad con puerta de enlace única
- Soporte para oyente único
- Requisitos de licencia del proxy RDP
- Marcador
- Pasos de configuración de alto nivel para el proxy
- Configuración del proxy RDP mediante la CLI
- Configuración del proxy RDP mediante la interfaz gráfica de usuario
- Opción para inhabilitar el SSO